Ley de Protección de Datos: los potenciales impactos de la normativa

CBS conversó con dos expertos en el área para analizar cómo el sector deberá enfrentar los desafíos asociados a la implementación de la nueva ley, una vez que sea aprobada.

Frente al auge digital que estamos viviendo como sociedad, la información emerge como un bien estratégico para las empresas. Para salvaguardar el uso que se pueda dar a esa data, es que en Chile se ha buscado implementar una normativa que ponga límites en la materia, por lo que la adaptación a estas normativas, más allá de la obligación legal, puede convertirse en una ventaja para el sector.

Actualmente el proyecto se encuentra en Comisión Mixta, luego de que el Senado aprobara las cerca de 300 enmiendas de la Cámara de Diputados. Sin embargo, existen discrepancias en 24 puntos que hoy se encuentran en discusión.

“Es particularmente relevante para la industria de los seguros, como toda otra empresa tendrá que enfrentar ajustes en los procesos tradicionales”, señalan David Ballestero, senior manager de Consultoría, y Jonatan Israel, gerente del Área Legal y Tributaria, ambos de PwC Chile, quienes conversaron con CBS para analizar el proyecto.

¿Cómo cree que la ley de protección de datos personales impactará en general a la industria de seguros en Chile?

El impacto en la industria de seguros es considerable, dado su vínculo fundamental con los datos personales. Además, los avances y desarrollos actuales en la industria aumentarán la cantidad y diversidad de datos personales involucrados en las operaciones diarias de las compañías.

La industria de seguros, además, maneja una gran cantidad de datos personales sensibles, como los relacionados con la salud o los biométricos, los cuales han sido identificados como un subgrupo especial, ya dentro de la normativa vigente y en la futura ley. Estos datos sensibles requieren una mayor protección. Por lo tanto, es crucial que las compañías adapten cuidadosamente la clasificación de la información propia de sus operaciones para incluir este nuevo subgrupo. De esta manera, podrán garantizar una protección integral acorde a la criticidad de cada tipo de dato.

A modo de ejemplo, en el sector de seguros los procesos de marketing sufrirán importantes cambios, y la publicidad dirigida requerirá ajustes significativos para cumplir con la futura ley. La gestión de proveedores y alianzas también se verá afectada, ya que la responsabilidad del tratamiento de los datos recaerá no solo en las compañías, sino también en los proveedores, prestadores de servicios y compañías reaseguradoras que forman parte de los contratos.

¿Cómo cambiarán los procesos de obtención de consentimiento para el uso de datos personales en la industria de seguros con la implementación de esta ley?

El consentimiento debe ser: libre, específico, inequívoco e informado, ajustándose así a los estándares definidos en la nueva ley. A su vez, este debe manifestarse a través de un acto afirmativo, lo que conlleva una novedad respecto de la norma actual. Esto implica que cada consentimiento debe tener una finalidad específica, sin agrupar múltiples propósitos en un mismo mecanismo.

El hecho de que sea afirmativo, implica que se debe utilizar un enfoque de «opt-in» como método de obtención, donde el titular de los datos debe brindar una confirmación explícita, y no se puede presumir la aceptación a menos que se exprese una objeción (mecanismo de «opt-out»).

Además, las compañías deben adaptar sus sistemas y procesos internos para permitir que los titulares de los datos puedan revocar sus consentimientos, ya sea de forma temporal o definitiva, conforme sean recabados para distintos fines.

¿Qué medidas deberían tomar las compañías de seguros para cumplir con las normas de calidad, información, transparencia y seguridad en el tratamiento de los datos personales establecidas por la ley?

Las medidas de seguridad y organizativas que adopten las compañías deben fundamentarse en evaluaciones de impacto de protección de datos. Estas evaluaciones deben analizar el riesgo asociado con los diversos tratamientos de datos personales realizados por las compañías y sugerir medidas apropiadas, ya sean tecnológicas, organizativas u otras.

En términos de transparencia e información, es esencial implementar políticas de privacidad claras, sólidas y actualizadas. Además, las compañías deben contar con una estructura organizativa, tecnológica y de recursos humanos adecuada para llevar a cabo el monitoreo y la gestión efectiva de los datos personales y la posibilidad de ejercicio de los derechos por parte de los titulares de los datos.

Con la creación de una eventual Agencia de Protección de Datos Personales, ¿Cómo interactuaría el sector de seguros con esta, para cumplir con sus regulaciones y directrices?

Debemos recordar que, de acuerdo al proyecto de Ley, la Agencia de Protección de Datos personales tendrá facultades interpretativas de la Ley de protección de datos personales. Esto quiere decir que, lo más probable es que esta tenga un rol fundamental en determinar aquellos casos de uso específicos y medidas de protección adecuadas que serán relevantes para la industria de seguros en particular. Esto ha sido la tónica en Europa en la aplicación e interpretación de GDPR en cada uno de los países miembros.

La experiencia nos ha mostrado que los diversos actores de un sector o mercado tienen dificultades interpretativas comunes y muchas veces presentan estas a las agencias de protección de datos de forma sectorial.

¿Qué recomendaciones podrían hacer a las compañías de seguros para evitar las sanciones establecidas por la ley en caso de infracciones a la protección de datos personales?

Es fundamental comenzar de inmediato el proceso de adaptación hacia la nueva ley, sin subestimar los impactos que esta normativa puede tener. Además, es importante reconocer que este proceso representa una oportunidad para fortalecer la transparencia y la confianza tanto con los clientes como con la población chilena en general.

En el caso de la aplicación de GDPR en Europa, vimos que muchas compañías no estaban listas antes de su entrada en vigencia porque no se tenía claridad de los estándares de protección esperados. Aquí podemos utilizar la experiencia comparada para poder adelantarnos, porque independiente de algunos ajustes que podría tener el texto legal definitivo, lo que se viene con el proyecto de Ley es en gran medida esperable.